Venuseye威胁情报系统介绍启明星辰目录01为什么需要威胁情报02Venuseye系统介绍03Venuseye应用场景01为什么需要威胁情报什么是威胁情报威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识,包括情境、机制、指标、推论与可行建议,这些知识可为威胁响应提供决策依据。MarketGuideforSecurityThreatIntelligenceServiceDefinitiveGuidetoCyberThreatIntelligence威胁情报是对敌方的情报及其动机、企图和方法进行收集、分析和传播,帮助各个层面的安全和业务成员保护企业关键资产。为什么需要威胁情报攻不对等防通过社会工程学手段和“黑产”交易掌握大量攻击工具、攻击方法、攻击资源和被攻击者信息对身处“黑暗”地带的攻击者一无所知,只能依靠基于静态规则技术的防护设备被动防御威胁情报的价值时间空间共享先知++=02Venuseye系统介绍Venuseye是什么Venuseye是由启明星辰自主开发的集威胁情报收集、分析、处理、发布和应用为一体的威胁情报服务系统。Venuseye系统以自有情报和第三方交换情报为基础数据,综合运用静态分析、动态沙箱、大数据分析、机器学习、多源情报聚合等先进技术,生产和提供高质量的威胁情报信息。Venuseye系统以公有云系统为基础运营平台,采用虚拟化技术实现,微服务架构设计,可以根据服务请求数量进行弹性伸缩。Venuseye的体系结构威胁情报服务系统IaaSServiceSaaS云查APIAPI网关组件数据查询前端展示用户管理配置管理运维管理容器组件服务器池PaaS威胁情报生产系统加密发布威胁情报信息威胁信息分析威胁情报库攻击者网络衍生可疑信息威胁追踪和挖掘功能特点定制化离线情报库根据用户使用场景不同按照情报类型、情报热度、情报数量、情报字段内容等进行离线情报库的定制,满足不同用户对于威胁情报的个性化需要完善的威胁情报应用生态启明星辰丰富的产品、大量的应用场景为威胁情报提供了优质的应用生态环境,威胁情报也将会助力传统安全产品和解决方案实现新的提升细致的情报分类和属性标定通过对情报进行分类和属性标定可以极大的提升情报的指向性,有助于用户对情报的理解和威胁的判定全球化威胁监测通过对全球威胁态势的监测,实时采集、高效分析、快速发布威胁情报,在最短的时间里掌握最新的威胁信息情报来源3个自有情报源2个商业情报源2个客户情报源209个开源情报源监测110余位国外安全专家Twitter更新80余个IP地址情报源2个开源DNS数据源1500余个国际域名管理节点数据源全球部署4个数据采集点19种采集程序7*24小时不间断工作自有情报、商业情报、开源情报“三架马车”并行Venuseye的情报生产过程基础数据采集系统安全热点舆情监测系统重点/流行样本分析系统0Day/1Day漏洞样本感知系统同源性分析系统高价值情报挖掘与监测系统僵木蠕网络特征自动提取系统0Day样本人工辅助分析系统数据补全系统IOC/关联信息事件特征应急响应APT组织信息溯源情报采集情报加工情报输出样本重点流行样本IP/域名衍生信息可疑样本行为信息Blog、Twitter等热点安全信息安全态势报告事件特征结果高危IP/域名人工分析数据清洗系统情报输出4000万数据总量12,800,000IP地址样本域名17,700,0009,700,00030,00040,0005,000日均数据处理量300,000情报输出50情报种类145APT组织382家族通过细致的情报分类和准确的属性标定,可以极大的提升威胁情报信息的指向性,有助于用户对于威胁情报的理解和威胁事件的准确判定。情报输出一般的厂商会将其标定为僵尸网络,但我们会将僵尸网络细分为C2服务器和僵尸主机两类。C2服务器对应僵尸网络中的控制端,僵尸主机则对应被控制的“肉鸡”。很显然,这两种僵尸网络中的主机连接性质是完全不同的,对于用户来说需要区分对待。C2服务器需要阻断其通信,而僵尸主机就要检查终端,根除被植入的程序。海量的威胁情报信息链主体如:IP地址值标识ID时间入库时间更新时间发现时间检测时间性质恶意类型危害级别地理信息国家城市省份经纬度ASN来源关联信息恶意家族攻击组织漏洞病毒Whois域名情报服务方式通过登录网站进行威胁情报的查询。网站查询网络安全设备、软件系统通过API方式实现与Venuseye威胁情报中心的实时数据对接查询API接口将特定的威胁情报信息打包成库文件的形式进行发布,支持个性化定制离线情报库离线情报库通过将Venuseye的系统本地化部署到用户网络中,帮助用户实现自己的私有威胁情报中心。私有威胁情报中心解决方案03威胁情报应用场景威胁云检测和防御UTMSwitchClient用户网络攻击者Venuseye通过将UTM产品上获取的IP地址、域名、文件(Hash)实时的与威胁情报中心的数据进行对比、分析,实现威胁的实时云检测,发现隐藏在海量网络通信中的木马回传、可疑程序下载、资源嗅探、C&C控制指令等隐秘通信,锁定网络中的潜伏者,并根据威胁情报信息进行必要的阻断。IP、域名、Hash风险值潜在威胁挖掘和溯源分析通过不断更新的威胁情报与历史数据进行碰撞,发现潜伏的威胁。私有威胁情报中心•解决专网用户无法使用威胁情报的问题•打消用户对数据上传云端的安全性担忧•满足大行业网络安全垂直建设的需要通过将Venuseye的系统本地化部署到用户网络中,增加内网情报管理功能,打通内外部情报,帮助用户实现自己的私有威胁情报中心威胁事件的调查分析运维系统VenusEye网络设备运维服务协同联动•为运维数据可视化分析和展示提供更为深度的数据支撑•为运维人员提供专业级的威胁信息支持,提升威胁事件调查效率和深度运维人员信息查询VenustechTHANKS!谢谢观看